Summarize this content to 600 words
Esta serie de informes adicionales de TSUBAME analiza las tendencias de monitoreo de los sensores TSUBAME en el extranjero y otras actividades que los informes trimestrales de monitoreo de amenazas de Internet no incluyen. Este artículo cubre los resultados del monitoreo para el período de abril a junio de 2024. Las tendencias de escaneo observadas con los sensores TSUBAME en Japón se presentan en gráficos aquí.
Actividades para escanear Telnet desde routers TP-LINK
JPCERT/CC analiza los datos recopilados por TSUBAME todos los días. Desde principios de mayo, se observaron muchos paquetes de escaneo desde enrutadores de LAN inalámbrica a Telnet en un ISP en particular. Investigamos las direcciones IP de origen de esos paquetes y encontramos muchos enrutadores de LAN inalámbrica TP-LINK, en particular el AX3000 con su versión de firmware 1.0.0. La Figura 1 muestra la captura de pantalla del enrutador.
Figura 1: Pantalla de inicio de sesión de un enrutador TP-LINK que funciona con una versión de firmware específica
Verificamos los registros de WHOIS para las direcciones IP de origen que mostraban la pantalla como la Figura 1 para identificar de qué ISP o rangos de red provienen principalmente, y parecía haber comunicaciones particularmente frecuentes desde 5 rangos de red de un determinado ISP. La Figura 2 muestra los cambios en la cantidad de direcciones IP de origen observadas por TSUBAME para los 5 rangos de red.
Figura 2: Cambios en la cantidad de direcciones IP de origen de los paquetes enviados desde las 5 redes al sensor TSUBAME
Puede ver que hubo un cambio significativo en la cantidad de direcciones IP de origen a fines de abril. Hubo subidas y bajadas, pero el problema no se ha resuelto al 30 de junio. JPCERT/CC ha estado proporcionando datos de observación al ISP para resolver el problema. TP-LINK AX3000 todavía está ampliamente disponible en las tiendas de electrónica de consumo. Dado que muchos usuarios diferentes deberían haber comprado este producto, es poco probable que sólo los usuarios de un ISP en particular continúen usando una versión de firmware específica. Por lo tanto, existe la posibilidad de que un usuario específico que compró una gran cantidad del producto por algún motivo, o una empresa que brinda un determinado servicio, esté utilizando una versión de firmware específica con fines de administración centralizada. Al utilizar dispositivos conectados a Internet, como enrutadores, es esencial seleccionar un producto compatible, actualizar su versión de firmware y asegurarse de que esté configurado correctamente. En particular, se recomienda a las empresas que incluyan dichos elementos en la lista de gestión y mantenimiento.
Comparación de las tendencias de observación en Japón y en el extranjero.
La Figura 3 es una comparación mensual del número promedio de paquetes recibidos en Japón y en el extranjero. Los sensores extranjeros recibieron más paquetes que los de Japón.
Figura 3: Comparación mensual del número promedio de paquetes recibidos en Japón y en el extranjero
Comparación de tendencias de seguimiento por sensor
Se asigna una dirección IP global a cada sensor TSUBAME. La Tabla 1 muestra los 10 puertos principales de cada sensor que recibieron más paquetes. Aunque el orden es diferente en cada sensor, casi todos los sensores observaron los paquetes para 23/TCP, 8728/TCP, 22/TCP, 8080/TCP, 80/TCP e ICMP. Esto sugiere que estos protocolos se están escaneando en una amplia gama de redes.
Tabla 1: Comparación de los 10 paquetes principales por sensores nacionales y extranjeros
Sensor en Japón #1Sensor en Japón #2Sensor en Japón #3Sensor en el extranjero #1Sensor en el extranjero #2Sensor en el extranjero #3
#123/TCP23/TCP23/TCP23/TCPICMP23/TCP
#28728/TCP8728/TCP8728/TCP80/TCP23/TCPICMP
#36379/TCP80/TCP6379/TCP22/TCP8728/TCP80/TCP
#422/TCP6379/TCP22/TCP8728/TCP80/TCP8728/TCP
#580/TCP22/TCP80/TCP443/TCP22/TCP6379/TCP
#63389/TCP3389/TCP8443/TCP3389/TCP443/TCP22/TCP
#74719/TCPICMP3389/TCP8080/TCP8080/TCP443/TCP
#8ICMP8080/TCPICMPICMP3389/TCP8080/TCP
#98080/TCP443/TCP4719/TCP445/TCP2222/TCP3389/TCP
#10445/TCP2222/TCP8080/TCP8081/TCP8081/TCP2222/TCP
Para terminar
El monitoreo en múltiples ubicaciones nos permite determinar si ciertos cambios están ocurriendo solo en una red en particular. Aunque no hemos publicado ninguna alerta especial como tema extra u otra información este trimestre, es importante prestar atención a los escáneres. Continuaremos publicando artículos de blog a medida que el Informe trimestral de monitoreo de amenazas en Internet esté disponible cada trimestre. También publicaremos un número adicional cuando observemos algún cambio inusual. Se agradecen mucho sus comentarios sobre esta serie. Utilice el formulario de comentarios a continuación para hacernos saber qué tema le gustaría que presentemos o analicemos más a fondo. Gracias por leer.
Keisuke Shikano
(Traducido por Takumi Nakano)